[对症下药：抢救被入侵的系统] 对症下药

　　攻击者入侵某个系统，总是由某个主要目的所驱使的。例如炫耀技术、得到企业机密数据、破坏企业正常的业务流程等等。有时也有可能在入侵后，攻击者的攻击行为由某种目的变成了另一种目的，例如：本来是炫耀技术，但在进入系统后，发现了一些重要的机密数据，由于利益的驱使，攻击者最终窃取了这些机密数据。
　　而攻击者入侵系统的目的不同，使用的攻击方法也会不同，所造成的影响范围和损失也就不会相同。因此，在处理不同的系统入侵事件时，就应当对症下药。不同的系统入侵类型，应当以不同的处理方法来解决，这样，才有可能做到有的放矢，达到最佳的处理效果。
　　
　　一、以炫耀技术为目的的系统入侵恢复
　　
　　对于以修改服务内容为目的的系统入侵活动，不需要停机就可以完成系统恢复工作。
　　
　　1、应当采用的处理方式
　　(1)建立被入侵系统当前完整的系统快照，或只保存被修改部分的快照，以便事后分析和留作证据。
　　(2)立即通过备份恢复被修改的网页。
　　(3)在Windows系统下，通过网络监控软件或“netsiat-an”命令来查看系统目前的网络连接情况，如果发现不正常的网络连接，应当立即断开与它的连接。然后通过查看系统进程、服务和分析系统和服务的日志文件，来检查系统攻击者在系统中还做了什么样的操作，以便做相应的恢复。
　　(4)通过分析系统日志文件，或者通过弱点检测工具来了解攻击者入侵系统所利用的漏洞。如果攻击者是利用系统或网络应用程序的漏洞来入侵系统的，那么，就应当寻找相应的系统或应用程序漏洞补丁来修补它，如果目前还没有这些漏洞的相关补丁。我们就应当使用其他的手段来暂时防范再次利用这些漏洞的入侵活动。如果攻击者是利用其他方式，例如社会工程方式入侵系统的，而检查系统中不存在新的漏洞，那么就可以不必进行这一个步骤，而必须对社会工程攻击实施的对象进行了解和培训。
　　(5)修复系统或应用程序漏洞后，还应当添加相应的防火墙规则来防止此类事件的再次发生，如果安装有IDS/IPS和杀毒软件，还应当升级它们的特征库。
　　(6)最后，使用系统或相应的应用程序检测软件对系统或服务进行一次彻底的弱点检测，在检测之前要确保其检测特征库是最新的。所有工作完成后，还应当在后续的一段时间内，安排专人对此系统进行实时监控，以确信系统已经不会再次被此类入侵事件攻击。
　　
　　2、进一步保证入侵恢复的成果
　　(1)修改系统管理员或其他用户账户的名称和登录密码；
　　(2)修改数据库或其他应用程序的管理员和用户账户名称和登录密码；
　　(3)检查防火墙规则；
　　(4)如果系统中安装有杀毒软件和IDS／IPS。分别更新它们的病毒库和攻击特征库：
　　(5)重新设置用户权限；
　　(6)重新设置文件的访问控制规则；
　　(7)重新设置数据库的访问控制规则；
　　(8)修改系统中与网络操作相关的所有账户的名称和登录密码等。
　　当我们完成上述的所有系统恢复和修补任务后，我们就可以对系统和服务进行一次完全备份，并且将新的完全备份与旧的完全备份分开保存。
　　在这里要注意的是：对于以控制系统为目的的入侵活动，攻击者会想方设法来隐藏自己不被用户发现。他们除了通过修改或删除系统和防火墙等产生的与他的操作相关的日志文件外，高明的黑客还会通过一些软件来修改其所创建、修改文件的基本属性信息，这些基本属性包括文件的最后访问时间、修改时间等，以防止用户通过查看文件属性来了解系统已经被入侵。因此，在检测系统文件是否被修改时，应当使用RootKit Revealer等软件来进行文件完整性检测。
　　
　　二、以得到或损坏系统中机密数据为目的的系统入侵恢复
　　
　　机密数据对于一些中小企业来说，可以说是一种生命，例如客户档案、生产计划、新产品研究档案、新产品图库，这些数据要是泄漏给了竞争对象，那么，就有可能造成被入侵企业的破产。对于抢救以得到、破坏系统中机密数据为目的的系统入侵活动，要想最大限度地降低入侵带来的数据损失，最好的方法就是在数据库还没有被攻破之前就阻止入侵事件的进一步发展。
　　
　　1、恢复还没有得到或破坏机密数据的被入侵系统
　　假设我们发现系统已经被入侵，并且通过分析系统日志，或者通过直接观察攻击者对数据库进行的后续入侵活动，已经了解到机密数据还没有被攻击者窃取，只是进入了系统而已。那么，我们就可以按下列方式来应对这样的入侵活动：如果企业规定在处理这样的系统入侵事件时，不允许系统停机，那么就应当按这种方式来处理。
　　(1)立即找到与攻击源的网络连接并断开。然后通过添加防火墙规则来阻止。通常，当我们一开始就立即断开与攻击源的网络连接。攻击者就会立即察觉到。并由此迅速消失，以防止自己被反向追踪。因而，如果我们想抓到攻击者，让他受到法律的惩罚。在知道目前攻击者进行的入侵攻击不会对数据库中的机密数据造成影响的前提下，我们就可以先对系统当前状态做一个快照，用来做事后分析和证据，然后使用IP追捕软件来反向追踪攻击者，找到后再断开与他的网络连接。
　　不过。我们要注意的是，进行反向追踪会对正常的系统业务造成一定的影响，同时，如果被黑客发现，他们有时会做最后一搏，会破坏系统后逃避，因而在追捕的同时要注意安全防范。只是，大部分的企业都是以尽快恢复系统正常运行，减少入侵损失为主要目的，因此，立即断开与攻击源的网络连接是最好的处理方式。
　　(2)对被入侵系统的当前状态建立快照，以便事后分析和留作证据。
　　(3)通过分析日志文件和弱点检测工具找到攻击者入侵系统的漏洞，然后了解这些系统漏洞是如何得到的。如果漏洞是攻击者自己分析得到的，那么就可能还没有相应的漏洞修复补丁，因而必须通过其他手段来暂时防范再次利用此漏洞入侵系统事件的发生；如果漏洞是攻击者通过互联网得到的，而且漏洞已经出现了相当一段时间，那么就可能存在相应的漏洞修复补丁。此时，就可以到系统供应商建立的服务网站下载这些漏洞补丁修复系统；如果攻击者是通过社会工程方式得到的漏洞。我们就应当对当事人和所有员工进行培训。以减少被再次利用的机率。
　　(4)修改数据库管理员账号名称和登录密码，重新为操作数据的用户建立新的账户和密码，并且修改数据库的访问规则。至于剩下的系统恢复工作，可以按恢复以控制系统为目的的系统入侵恢复方式来进行。
　　
　　2、恢复已经得到或删除了机密数据的被入侵系统
　　如果当我们发现系统已经被入侵时，攻击者已经得到或删除了系统中全部或部分的机密数据，那么，现在要做的不是试图抢救已经损失了的数据，而是保护没有影响到的数据。由于此类系统入侵事件已经 属于特别严重的入侵事件，我们的第一个动作，就是尽快断开与攻击源的网络连接。
　　如果允许系统停机处理这类严重系统入侵事件，那么就可以直接拔掉网线断开被入侵系统与网络的直接连接。当系统仍然不允许停机处理时，就应当通过网络连接监控软件来找到系统与攻击源的网络连接，然后断开，并在防火墙中添加相应的规则来拦截与攻击源的网络连接。这样做的目的。就是防止此次系统入侵事件进一步的恶化，保护其他没有影响到的数据。
　　断开与攻击源的连接后，我们就应当立即分析数据损失的范围和严重程度，了解哪些数据还没有被影响到，然后立即将这些没有影响到的数据进行备份或隔离保护。对于丢失了数据的系统入侵事件，我们还可以将它归纳成以下的三个类别：
　　(1)数据被窃取
　　当我们检测数据库时发现数据并没有被删除或修改，但是通过分析系统日志和防火墙日志，了解攻击者已经进入了数据库，打开了某些数据库表，或者已经复制了这些数据库表，那么就可以确定攻击者只是窃取了数据而没有进行其他活动。此时，应当按前面介绍过的方法先恢复系统到正常状态，然后修补系统和数据库应用程序的漏洞，并对它们进行弱点检测，发现没有问题后分别做一次完全备份。还应当修改系统管理员和数据库管理员账户的名称和登录密码，所有的操作与前面提到过的方式相同，只是多出了数据库的恢复工作。
　　(2)数据被修改
　　如果我们在分析数据库受损情况时，发现攻击者并没有打开数据库表，而是通过数据库命令增加、修改了数据库某个表中的相关内容。那么，我们不得不一一找出这些非授权的数据表相关行，然后将它们全部修正或删除。如果修改的内容有关某个行业，例如办理驾驶证的政府机关，办理毕业证的教育机构，或者办理其他各种执照的相关单位等，那么，还要将攻击者修改的内容向外界公布，说明这些被攻击者修改或添加的内容是无效的，以免造成不必要的社会影响。其他的系统和数据库恢复处理方式与数据被窃取方式相同。
　　(3)数据被删除
　　如果我们在分析数据库受损情况时，发现攻击者不仅得到了机密数据，而且将系统中的相应数据库表完全删除了，那么，我们在断开与其网络连接时，要立即着手恢复这些被删除了的数据。
　　当我们通过备份的方式来恢复被删除的数据时，在恢复之前，一定要确定系统被入侵的具体时间，这样才知道什么时候的备份是可以使用的。这是因为，如果我们对数据库设置了每日的增量备份，当攻击者删除其中的内容时，非法修改后的数据库同样被备份了，因此，在入侵后的增量备份都不可用。同样，如果在系统被入侵期间。还对数据库进行了完全备份，那么。这些完全备份也不可用。
　　如果允许我们停机进行处理，我们可以拆下系统上的硬盘，接入其他系统，然后通过文件恢复软件来恢复这些被删除的文件。但是，对于数据库表中内容的删除，我们只能通过留下的纸质文档，来自己慢慢修正。
　　在这里我们就可以知道，备份并不能解决所有的系统入侵问题，但仍然是最快、最有效恢复系统正常的方式之一。我们还可以知道，及时发现系统已经被入侵对于抢救系统中的机密数据是多么的重要。
　　
　　三、以破坏系统或业务正常运行为目的的系统入侵恢复
　　
　　当攻击者入侵系统的目的，就是为了让系统或系统中的正常业务不能正常运行，如果我们发现不及时，当这类系统入侵事件攻击成功后，就会造成系统意外停机事件和业务意外中断事件。
　　处理这类系统入侵事件时，已经没有必要再考虑系统需不需要停机处理的问题了，既然系统都已经不能正常运行了，考虑这些都是多余的，最紧要的就是尽快恢复系统正常运行。对于这类事件，也有下列这几种类别，每种类别的处理方式也是有一点区别的：
　　
　　1、系统运行正常，但业务已经中断
　　对于此类系统入侵事件，我们可以不停机进行处理，直接以系统在线方式通过备份来恢复业务的正常运行，但在恢复前要确定系统被入侵的具体时间，以及什么时候的备份可以使用，然后按本文前面介绍的相关系统入侵恢复方式来恢复系统和业务到正常状态。
　　对于没有冗余系统的企业，如果当时非常迫切需要系统业务能够正常运行，那么，也只有在通过备份恢复业务正常运行后直接使用它。但在没有修复系统或应用程序漏洞之前，必须安排专人实时监控系统的运行状况，包括网络连接状况、系统进程状况。通过提高IDS／IPS的检测力度。添加相应的防火墙检测规则来暂时保护系统安全。
　　
　　2、系统不能正常运行。但系统中与业务相关的内容没有受到破坏
　　此时，我们首要的任务就是尽快让系统恢复正常运行，但是要保证系统中与业务相关的数据不能受到损害。如果与业务相关的重要数据不在系统分区，那么，将系统从网络中断开后，我们就可以通过另外保存的系统完全备份来迅速恢复系统到正常状态，这是最快速的解决方法。
　　但是，如果与业务相关的数据全部或部分存放在系统分区，那么，为了保证当前业务数据的完整性，我们应当先通过像winPE光盘系统的方式启动WinPE系统，然后将与业务相关的重要数据全部备份到其他独立的存储设备中，再对系统分区进行备份恢复操作。
　　如果我们发现系统的完全备份不可用。我们就只能在保证与业务相关的重要数据不损失的情况下，通过全新的操作系统安装方式来恢复系统正常运行，然后再安装业务应用程序，来恢复整个系统业务的正常运行。但是，由于这种方式是重新全新安装操作系统，因此。如没有特殊的要求，应当对系统和应用程序做好相应的安全防范措施并完全备份后，才将系统连入网络当中。
　　至于剩下的系统恢复工作，可以按恢复以控制系统为目的的系统入侵恢复方式来进行。